r   e   k   l   a   m   a
r   e   k   l   a   m   a

Desperacja użytkowników BDI. Aero2 nie panuje nad usługą Google'a, więc testy reCAPTCHA coraz trudniejsze

Strona główna AktualnościINTERNET

W ciągu ostatniego weekendu otrzymaliśmy od Was wiele e-maili, w których skarżyliście się na wzrost poziomu trudności testów reCAPTCHA, używanych od 1 kwietnia br. przez Aero2 do „uwierzytelniania” użytkowników usługi BDI. W grę wchodzą następujące możliwości: albo staliście się robotami, albo operator postawił na eskalację utrudnień dostępu, albo też coś dzieje się z Google, reagującym w ten sposób na zwiększenie obciążenia jego infrastruktury.

Choć możliwość pierwsza wydaje się najbardziej interesująca, to pominiemy ją choćby z tego powodu, że w listach do nas dawaliście wiele dowodów na swoje człowieczeństwo – a przecież do tego właśnie służy test reCAPTCHA, by odróżniać ludzi od maszyn. Przyjrzyjmy się więc innym możliwościom wyjaśnienia sprawy.

Pierwsze doniesienia o zwiększeniu trudności testów reCAPTCHA pojawiły się w połowie kwietnia. Wówczas to wielu użytkowników BDI na stronie Aero2 na Facebooku poskarżyło się, że w ogóle nie jest w stanie odcyfrować i tak trudnych do odczytania napisów w teście. Sytuacja miała utrzymywać się nawet kilkanaście godzin, w trakcie których mechanizm reCAPTCHA wyświetlał oba tekstowe ciągi do przepisania w postaci jeszcze bardziej zdeformowanej niż zwykle, a na dodatek nałożone na czarną plamę z fragmentem tekstu w negatywie.

Po tej pierwszej fali zgłoszeń Aero2 opublikowało na swoim fanpage dość zastanawiające wyjaśnienie. Otóż miało dojść do ataku na test reCAPTCHA, przeprowadzonego przez grupę użytkowników BDI. Wywołać to miało reakcję obronną serwerów Google'a, które automatycznie włączyły trudniejsze wersje testu… by jeszcze mniej skutecznie odróżniać ludzi od botów. Aero2 poinformowała zarazem, że Grupa Użytkowników BDI, z których kart został przeprowadzony atak, została zidentyfikowana i w przypadku ponowienia takiej próby ich karty zostaną bez ostrzeżenia zdezaktywowane. Umożliwia to operatorowi punkt 11.6 regulaminu, pozwalający na natychmiastowe odcięcie dostępu do sieci Aero2 osobom, które zakłócają jej prace.

Co miałby oznaczać jednak taki atak? Czyżby chodziło o próby znalezienia rozwiązania testu w sposób maszynowy? Czas ataku ciekawie zbiegł się z opublikowaniem przez informatyków Google'a pracy poświęconej zastosowaniu sieci neuronowej DistBelief do dekodowania numerów budynków ze zdjęć zrobionych dla usługi Widok Ulicy – oraz właśnie ciągów liter stosowanych w teście reCAPTCHA. Okazało się wówczas, że DistBelief rozwiązywał nawet najtrudniejsze wersje testów (takie, jak zastosowane wobec użytkowników BDI) ze skutecznością przekraczającą 99%.

Jeśli nie chodziło o próbę maszynowego rozwiązywania testów, to może w grę wchodził zwykły atak typu DDoS? To wyjaśnienie brzmi całkiem prawdopodobnie, dopóki nie uświadomimy sobie, że w tym momencie sam formularz „uwierzytelniania” usługi BDI jest formą ataku DDoS skierowaną przeciwko serwerom Google. Wygląda bowiem na to, że obecnie Aero2 może być największym na świecie użytkownikiem usługi z Mountain View. Skąd ten wniosek?

RIPE NCC (Réseaux IP Européens – organizacja zajmująca się przydzielaniem adresów IP w Europie) przyznała do tej pory Aero2 łącznie ok. 60 tys. adresów na potrzeby BDI. Przy założeniu, że użytkownicy Aero będą logowali się do usługi co godzinę (tak jak miałoby to być docelowo, po pilotażowym okresie testów reCAPTCHA), robiąc to w ciągu dnia roboczego, mielibyśmy niespełna pół miliona wyświetleń testu reCAPTCHA – o ile wpisy byłyby za każdym razem poprawne. Z tego jednak co piszą internauci, wcale tak dobrze nie było: niektórzy jeszcze przed pojawieniem się trudniejszej wersji testów skarżyli się, że próbują przejść test nawet po kilkanaście razy. Można więc szacować, że w godzinach szczytu możliwe jest, że liczba wyświetleń testu zbliża się do miliona.

Nie wiadomo, jakie są realne limity usługi Google'a – firma nigdy ich nie podała. Wiemy jedynie, że w 2011 roku firma pochwaliła się, że dziennie wyświetlanych jest 100 mln testów. Wtedy też w FAQ usługi można było przeczytać, że Google prosi o wcześniejszy kontakt, jeśli ktoś zakłada, że jego witryna będzie potrzebowała więcej niż miliona testów dziennie. Dzisiaj FAQ dla testu już nie znajdziecie, zastąpiła go bardziej „korporacyjna” strona The reCAPTCHA advantage, w której niewiele można znaleźć poza wmawianiem, że usługa jest ciężka dla botów a łatwa dla ludzi.

To że o limitach nie ma mowy, nie oznacza, że w ogóle ich nie ma, dlatego można podejrzewać, że ze strony Aero2 do Google nie zgłosił się nikt, uprzedzając o wdrożeniu nowej procedury „uwierzytelniania” – i serwery w pewnym momencie zaczęły traktować ruch przychodzący z sieci tego operatora jako potencjalny atak DDoS. Rosnąca liczba błędnych rozwiązań tylko uprawdopodobniała ten scenariusz, więc w odpowiedzi poziom trudności testów drastycznie wzrósł, co dało się odczuć przez cały ostatni weekend.

Nie oceniamy zasadności wdrożenia samego mechanizmu uniemożliwiającego automatyczną renegocjację połączenia z BDI, ale zarazem nie potrafimy oprzeć się wrażeniu, że osoby odpowiedzialne za to wdrożenie do sprawy podeszły „po taniości”, bez krytycznej refleksji, nie mówiąc już o testach usability i skalowalności. Chyba nie jedyni mamy takie wrażenie. Na Facebooku powstała strona przeciwników wprowadzenia utrudnień i ograniczeń w BDI, której członkowie przystępują do akcji pisania skarg do prezesa UKE. Być może ta inicjatywa pozwoli na polepszenie stanu rzeczy – bo najwyraźniej samo Aero2 do swojego nieprzemyślanego działania przyznać się nie chce, i dalej w zaparte głosi, jak świetnym rozwiązaniem jest reCAPTCHA.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.